Oude exploits voor Flash, Silverlight en IE in nieuwe exploitkit
Er is een nieuwe exploitkit verschenen die internetgebruikers via bekende lekken in Adobe Flash Player, Microsoft Silverlight en Internet Explorer met malware probeert te infecteren. De exploits in de Archie Exploitkit zijn daarbij niet zelf door de cybercriminelen ontwikkeld, maar afkomstig van Metasploit.
Dit is een programma dat door het Amerikaanse beveiligingsbedrijf Rapid7 wordt aangeboden en voornamelijk door security professionals wordt gebruikt. Archie verzamelt eerst informatie over geinstalleerde browserplug-ins op het systeem en kijkt of er geen 64-bit versie van Internet Explorer wordt gebruikt. Afhankelijk van de geïnstalleerde browserplug-ins worden er exploits voor lekken in Flash Player, Silverlight en IE ingezet.
Het aangevallen IE-lek werd vorig jaar mei door Microsoft gepatcht. Een update voor het Silverlight-lek is al sinds maart 2013 beschikbaar. Alleen de aangevallen Flash Player-lekken dateren van dit jaar en werden respectievelijk in februari en april door Adobe gepatcht. De malware die Archie op computers probeert te installeren wordt voornamelijk voor clickfraude gebruikt.
Beveiligingsonderzoeker Jaime Blasco van AlienVault Labs merkt op dat het aantal exploitkits waar cybercriminelen gebruik van kunnen maken de afgelopen jaren is gestegen. Een bekende exploitkit was de Blackhole Exploitkit, waarvan de auteur vorig jaar oktober werd opgepakt. Sindsdien zijn er echter allerlei nieuwe exploitkits verschenen.
Voor een meer uitgebreide scan moet je een plugin installeren, zie https://browsercheck.qualys.com/
Of jouw webbrowser verstandig met https (SSL/TLS) omgaat zie je hier: https://www.ssllabs.com/ssltest/viewMyClient.html
Of jouw webbrowser verstandig met https (SSL/TLS) omgaat zie je hier: https://www.ssllabs.com/ssltest/viewMyClient.html
Jammer dat dit niet met alle webbrowsers werkt. De browser waarmee ik deze pagina bezocht kon hij helaas niet testen.
Of jouw webbrowser verstandig met https (SSL/TLS) omgaat zie je hier: https://www.ssllabs.com/ssltest/viewMyClient.html
Jammer dat dit niet met alle webbrowsers werkt. De browser waarmee ik deze pagina bezocht kon hij helaas niet testen.
Aangezien je er niet bij vermeldt om welke browser het gaat vermoed ik dat je dat niet kwijt wilt (ik ben wel benieuwd natuurlijk).
Dat is opmerkelijk, gezien de lijst met geteste browsers in https://www.ssllabs.com/ssltest/clients.html.
Aangezien je er niet bij vermeldt om welke browser het gaat vermoed ik dat je dat niet kwijt wilt (ik ben wel benieuwd natuurlijk).
Bedankt voor de lijst met geteste browsers.
Ik heb zojuist de pagina nog een keer bezocht en nu krijg ik wel resultaten voorgeschoteld :-).
Zouden ze hem vandaag toevallig toegevoegd hebben? Hij staat nog niet op de lijst met geteste browsers.
De browser waar ik het over heb is de op de Nintendo 3DS XL geïnstalleerde browser. (versie 1.7567)
Ik was best wel geïnteresseerd in de resultaten van juist deze browser aangezien ik denk dat deze browser toch best wel door een aantal gebruikt zal worden voor het surfen op het internet (waaronder ook jeugd).
Zouden ze hem vandaag toevallig toegevoegd hebben? Hij staat nog niet op de lijst met geteste browsers.
Het betreft overigens de op de Nintendo 3DS XL geïnstalleerde browser. (versie 1.7567)
Steeds meer devices (ook TV's) hebben een ingebouwde webbrowser waar mensen mogelijk steeds meer vertrouwelijke gegevens uitwisselen. Als notabene de stock Android browser in 75% van de Android smartphones op de markt al een een gapend Same Origin Policy lek blijkt te hebben (zie https://www.security.nl/posting/402257/Groot+privacylek+in+75%25+Android-toestellen+ontdekt) dan verwacht ik er niet veel goeds van.
Wat het beleid is om browsers (en andere clients zoals Java) toe te voegen aan de lijst weet ik niet.
De test is, bij mijn weten, totaal niet browser-afhankelijk. De sslabs software presenteert zich richting de browser als een reeks servers met verschillende instellingen en registreert hoe de browser zich gedraagt.
Dat zowel de client als de server supersecure kunnen zijn zegt niet zoveel als een man-in-the-middle een "downgrade attack" kan uitvoeren, door tijdens de handshake uitsluitend de slechts denkbare "tegenpartij" uit te wisselen (zie http://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-downgrade-attack).
Door de ssllabs client test zie je welke worst-case verbindingen jouw browser nog accepteert. Duidelijk is ook dat browsers snel verouderen als je ze niet up-to-date houdt (of kunt houden zoals MSIE8 op XP, zie https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP).
Het risico van oude browsers is dat servers oude en lekke protocollen blijven ondersteunen om geen klanten mis te lopen en/of helpdeskcalls te vermijden, en andersom, als browsers ook oude en lekke protocollen blijven ondersteunen, waarom zou je dan je server updaten?
Ook zie je welke soorten "mixed content" (http verkeer naast https) de browser accepteert. Zie http://blog.ivanristic.com/2014/03/https-mixed-content-still-the-easiest-way-to-break-ssl.html voor o.a. de risico's daarvan (Ivan Ristic, medewerker bij Qualys, is de geestelijk vader achter ssllabs en een expert op het gebied van SSL/TLS).
Zouden ze hem vandaag toevallig toegevoegd hebben? Hij staat nog niet op de lijst met geteste browsers.
Het betreft overigens de op de Nintendo 3DS XL geïnstalleerde browser. (versie 1.7567)
Steeds meer devices (ook TV's) hebben een ingebouwde webbrowser waar mensen mogelijk steeds meer vertrouwelijke gegevens uitwisselen. Als notabene de stock Android browser in 75% van de Android smartphones op de markt al een een gapend Same Origin Policy lek blijkt te hebben (zie https://www.security.nl/posting/402257/Groot+privacylek+in+75%25+Android-toestellen+ontdekt) dan verwacht ik er niet veel goeds van.
Een paar puntjes uit de resultaten
TLS 1.2 no
TLS 1.1 no
TLS 1.0 yes
SSL 3 Yes
SSL 2 no
Ik denk dat ik toch gewoon liever via een PC op websites inlog. (wel met een modernere browser en dus niet IE8)
Ik weet niet of je in de rest van de resultaten ook geïnteresseerd bent? Helaas is het niet mogelijk om te kopiëren en plakken aangezien ik de post op mijn PC schrijf en de resultaten op de Nintendo 3DS XL bekijk.
Door wie de browser van de Nintendo 3DS XL precies gemaakt is en wie hem bijhoudt is mij overigens niet echt duidelijk.
Wat het beleid is om browsers (en andere clients zoals Java) toe te voegen aan de lijst weet ik niet.
De test is, bij mijn weten, totaal niet browser-afhankelijk. De sslabs software presenteert zich richting de browser als een reeks servers met verschillende instellingen en registreert hoe de browser zich gedraagt.
Dat zowel de client als de server supersecure kunnen zijn zegt niet zoveel als een man-in-the-middle een "downgrade attack" kan uitvoeren, door tijdens de handshake uitsluitend de slechts denkbare "tegenpartij" uit te wisselen (zie http://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-downgrade-attack).
Door de ssllabs client test zie je welke worst-case verbindingen jouw browser nog accepteert. Duidelijk is ook dat browsers snel verouderen als je ze niet up-to-date houdt (of kunt houden zoals MSIE8 op XP, zie https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP).
Het risico van oude browsers is dat servers oude en lekke protocollen blijven ondersteunen om geen klanten mis te lopen en/of helpdeskcalls te vermijden, en andersom, als browsers ook oude en lekke protocollen blijven ondersteunen, waarom zou je dan je server updaten?
Hmm, misschien ging er dan iets anders fout waardoor de test niet uitgevoerd kon worden.
Ook zie je welke soorten "mixed content" (http verkeer naast https) de browser accepteert. Zie http://blog.ivanristic.com/2014/03/https-mixed-content-still-the-easiest-way-to-break-ssl.html voor o.a. de risico's daarvan (Ivan Ristic, medewerker bij Qualys, is de geestelijk vader achter ssllabs en een expert op het gebied van SSL/TLS).
Bedankt wat leesvoer voor vanmiddag
Door de ssllabs client test zie je welke worst-case verbindingen jouw browser nog accepteert. Duidelijk is ook dat browsers snel verouderen als je ze niet up-to-date houdt (of kunt houden zoals MSIE8 op XP, zie https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=8&platform=XP).
Als ik overigens de resultaten van IE8 zie, dan denk ik dat ik dan juist weer liever met de Nintendo 3DS XL op een website zou inloggen als ik moest kiezen tussen die twee. Maar goed IE8 was als ik mij niet vergis de standaard browser van Windows 7 dus die is dan al zo'n 5 jaar oud.
Ook zie je welke soorten "mixed content" (http verkeer naast https) de browser accepteert. Zie http://blog.ivanristic.com/2014/03/https-mixed-content-still-the-easiest-way-to-break-ssl.html voor o.a. de risico's daarvan (Ivan Ristic, medewerker bij Qualys, is de geestelijk vader achter ssllabs en een expert op het gebied van SSL/TLS).
Ik heb inmiddels de pagina gelezen. Interessant wat er geschreven staat. Ik las ook een stukje over HSTS. Ik ben nog altijd benieuwd of IE12 HSTS zal ondersteunen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
